Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJackThis Logfile - Bitte um Auswertung (https://www.trojaner-board.de/80516-hijackthis-logfile-bitte-um-auswertung.html)

Turrican2 17.12.2009 22:11
HiJackThis Logfile - Bitte um Auswertung
 
Hallo liebe Gemeinde,

mein Port-Scanner meldet einige offene Ports, und mit Comodo Firewall habe ich Schwierigkeiten, die offenen Löcher dicht zu machen :-/. Da alle Online-Portscans aber gut verliefen (bis auf TCP NULL), würde ich gerne wissen, was "Böses" auf meiner Kiste schlummert und bitte um eine Analyse meines Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:48:19, on 28.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
D:\Windows\system32\taskhost.exe
D:\Windows\system32\Dwm.exe
D:\Windows\Explorer.EXE
D:\Program Files\Avast4\ashDisp.exe
D:\Program Files\Comodo\COMODO Internet Security\cfp.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Windows Sidebar\sidebar.exe
D:\Windows\System32\StikyNot.exe
D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
D:\Program Files\totalcmd\TOTALCMD.EXE
D:\Program Files\Mozilla Thunderbird\thunderbird.exe
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Windows\system32\SearchFilterHost.exe
D:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avast!] "D:\Program Files\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Program Files\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] D:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "D:\Windows\TEMP\E_SDEF7.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] D:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] D:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - D:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: D:\Windows\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast4\ashWebSv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 5129 bytes

Auf mich wirkt es sauber, aber vielleicht kennt sich jmd besser aus als ich ^^. Zumal mich interessiert: angenommen, alles sieht sauber aus - wie kann man sicher sein, dass sich eine Badware nicht irgendwo in etwas eingenistet hat, was hier als sauber angesehen wird?

Viele Grüße und
danke :-)
Turrican2

Kpt.B. 20.12.2009 18:02
Hallo Turrican2, eine Auswertung kann ich leider nicht aber guck mal

>> http://www.hijackthis.de/de

das wäre eine erste Hilfe bis hier ein Spezi erscheint.

Gruß ;) Kpt.B.

Zitat:
Analysedetails
Logfile of Trend Micro HijackThis v2.0.2

Art


Ihre Version sollte aktuell sein.

Platform: Unknown Windows (WinNT 6.01.3504)

Art



Analysedetails
MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Art


Ihre Version sollte aktuell sein.
Besucherbewertung Analysedetails
Boot mode: Normal

Art

Sehr sicher
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
D:\Windows\system32\taskhost.exe

Art

Sehr sicher
Sehr sicher
Sicher (4.55 / 5.00)
Besucherbewertung Analysedetails
D:\Windows\system32\Dwm.exe

Art



Windows - Desktop Window Manager
Besucherbewertung Analysedetails
D:\Windows\Explorer.EXE

Art



Systemprozess für Desktop und Taskleiste.
Besucherbewertung Analysedetails
D:\Program Files\Avast4\ashDisp.exe

Art



Besucherbewertung Analysedetails
D:\Program Files\Comodo\COMODO Internet Security\cfp.exe

Art


Sicher (4.67 / 5.00)
Besucherbewertung Analysedetails
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Art

Sehr sicher
Sehr sicher
Nicht gefährlich aber unnötig.
Besucherbewertung Analysedetails
D:\Program Files\Windows Sidebar\sidebar.exe

Art



Vista Like Windows Sidebar
Besucherbewertung Analysedetails
D:\Windows\System32\StikyNot.exe

Art


Sicher (4 / 5.00)
Besucherbewertung Analysedetails
D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

Art


Sicher (4.47 / 5.00)
Besucherbewertung Analysedetails
D:\Program Files\totalcmd\TOTALCMD.EXE

Art

Sehr sicher
Sehr sicher

Total Commander
Besucherbewertung Analysedetails
D:\Program Files\Mozilla Thunderbird\thunderbird.exe

Art

Sehr sicher
Sehr sicher

Mozilla Thunderbird Mail
Besucherbewertung Analysedetails
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

Art

Sehr sicher
Sehr sicher

Spybot - Search & Destroy
Besucherbewertung Analysedetails
D:\Program Files\Mozilla Firefox\firefox.exe

Art

Sehr sicher
Sehr sicher

Internet Browser
Besucherbewertung Analysedetails
D:\Windows\system32\SearchFilterHost.exe

Art



Microsoft Windows Search related process
Besucherbewertung Analysedetails
D:\Program Files\HijackThis\HijackThis.exe

Art


Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
Besucherbewertung Analysedetails
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

Art

Sehr sicher
Sehr sicher
Diese Seite wurde als gut identifiziert!
Besucherbewertung Analysedetails
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Art

Sicher
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Besucherbewertung Analysedetails
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

Art


Sicher (4.11 / 5.00)
Besucherbewertung Analysedetails
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll

Art


winamptb.dll - Winamp Toolbar, http://beta.aol.com/projects.php?project =winamp&loc=10
Besucherbewertung Analysedetails
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

Art


SDhelper.dll - Spybot - Search & Destroy, http://spybot.eon.net.au/
Besucherbewertung Analysedetails
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll

Art

Sehr sicher
Sehr sicher
winamptb.dll - Winamp Toolbar, http://beta.aol.com/projects.php?project =winamp&loc=10
Besucherbewertung Analysedetails
O4 - HKLM\..\Run: [avast!] "D:\Program Files\Avast4\ashDisp.exe"

Art


Part of Avast! anti-virus software
Besucherbewertung Analysedetails
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Program Files\Comodo\COMODO Internet Security\cfp.exe" -h

Art


Sicher (4.67 / 5.00)
Besucherbewertung Analysedetails
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] D:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "D:\Windows\TEMP\E_SDEF7.tmp" /EF "HKLM"

Art


Nicht bekanntes Programm.
Besucherbewertung Analysedetails
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Art

Sehr sicher
Sehr sicher
Spybot - Search & Destroy - free multi-spyware removal tool from Patrick Kolla. TeaTimer.exe monitors certain changes to the registry and notifies when browser plugins and activeX controls get installed, allowing you to block/reverse this.
Besucherbewertung Analysedetails
O4 - HKCU\..\Run: [Sidebar] D:\Program Files\Windows Sidebar\sidebar.exe /autoRun

Art


Desktop Sidebar
Besucherbewertung Analysedetails
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] D:\Windows\System32\StikyNot.exe

Art


Sicher (4 / 5.00)
Besucherbewertung Analysedetails
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')

Art

Sehr sicher
Sehr sicher
Desktop Sidebar
Besucherbewertung Analysedetails
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')

Art


Nicht bekanntes Programm.
Besucherbewertung Analysedetails
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')

Art

Sehr sicher
Sehr sicher
Desktop Sidebar
Besucherbewertung Analysedetails
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

Art


Nicht bekanntes Programm.
Besucherbewertung Analysedetails
O8 - Extra context menu item: &Winamp Search - D:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

Art


Der Eintrag &Winamp Search wurde als schädlich erkannt.
Besucherbewertung Analysedetails
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

Art


Der Eintrag Nach Microsoft E&xel exportieren wurde als Gut erkannt.
Besucherbewertung Analysedetails
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

Art


Der Eintrag An OneNote senden wurde als Gut erkannt.
Besucherbewertung Analysedetails
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

Art


Der Eintrag An OneNote s&enden wurde als Gut erkannt.
Besucherbewertung Analysedetails
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

Art


Der Eintrag Research wurde als Gut erkannt.
Besucherbewertung Analysedetails
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

Art


Sicher (4.49 / 5.00)
Besucherbewertung Analysedetails
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

Art


Sicher (4.6 / 5.00)
Besucherbewertung Analysedetails
O13 - Gopher Prefix:

Art

Sicher
Sicher
Sicher (4.3 / 5.00)
Besucherbewertung Analysedetails
O20 - AppInit_DLLs: D:\Windows\system32\guard32.dll

Art


Sicher (4.36 / 5.00)
Besucherbewertung Analysedetails
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Avast4\aswUpdSv.exe

Art


Dieser Dienst (aswUpdSv.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Avast4\ashServ.exe

Art


Dieser Dienst (ashServ.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Avast4\ashMaiSv.exe

Art


Dieser Dienst (ashMaiSv.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Avast4\ashWebSv.exe

Art


Dieser Dienst (ashWebSv.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe

Art


Dieser Dienst (cmdagent.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

Art


Dieser Dienst (AAWService.exe) wurde als gut identifiziert.
Besucherbewertung Analysedetails
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\Windows\system32\nvvsvc.exe

Art


Sicher (3.98 / 5.00)
Besucherbewertung Analysedetails
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

Art


Sicher (4.68 / 5.00)

Turrican2 22.12.2009 19:02
Hi Kpt. B.,

danke für den Tipp :-). Die auto-Auswertung hatte bei mir sicher ergeben, aber die Experten meinen ja öfters das sei nicht sehr sicher^^.

Falls noch jemand Zeit hat, rein zu schauen, freu ich mich über warte geduldig bis dahin.

VG
Turrican2

cosinus 23.12.2009 12:18
Hallo,

Zitat:
mein Port-Scanner meldet einige offene Ports, und mit Comodo Firewall habe ich Schwierigkeiten, die offenen Löcher dicht zu machen :-/. Da alle Online-Portscans aber gut verliefen (bis auf TCP NULL), würde ich gerne wissen, was "Böses" auf meiner Kiste schlummert und bitte um eine Analyse meines Logfiles:
Dazu müsste man wissen WELCHE Ports bzw Dienste das denn wären und ob die nur intern offen sind, nur am localhost lauschen oder gar nach draußen hin offen sind.
Ich würd Dir ehrlich gesagt von Comodo abraten und Dir die Windows-Firewall empfehlen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131